2012年11月5日 星期一

E-mail成駭客攻擊管道 APT攻擊防不勝防


E-mail成駭客攻擊管道 APT攻擊防不勝防

新北市府研考會在今年9月對6179名員工發出測試電子郵件,郵件主旨為「李宗瑞影片,趕快下載呦!」,居然有高達996名員工好奇點閱「中招」,也顯示儘管IT部門設下各種防禦措施,仍然很難克服人性的脆弱,也成為企業資訊安全管理體系中,最脆弱的一個環節。

事實上,根據趨勢科技曾經針對國內某家超過300人的企業所做的調查顯示,防毒意識最差的部門是:業務部,而最會開危險郵件的員工是:工讀生等臨時雇員。而在2012年7月舉行的Black Hat USA安全大會上所做的調查。有250個與會者進行了投票,69%的人表示每週都會有網路釣魚(Phishing)郵件進入到使用者的信箱。超過25%的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。


透過電子郵件附件進行的APT攻擊,已成為企業聞之色變的主要入侵方式。

電子郵件成為主要攻擊管道

近年來讓許多組織機構聞之色變的「進階持續性滲透攻擊 (Advanced Persistent Threat, APT)」 ,主要的入侵方式,就是針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,使用者只要一時不察,就可能會讓自己的電腦被植入惡意程式。

趨勢科技指出,駭客發動的APT攻擊從2010年起,攻擊的對象已經從政府轉為企業,包括RSA及Sony都在2011年被駭客攻陷,不但數百萬客戶的資料被竊取,面臨天文數字的賠償責任,修復過程的費用以及無形商譽的損失,更是難以估計。

根據統計,APT攻擊的主要地區,分別為台灣、美國與香港,受害比例最高的是台灣,整體而言,亞洲是遭受APT攻擊最主要的地區.

值得注意的是,過去的大規模攻擊事件,多半是駭客利用作業系統的弱點,趁尚未發布修正程式的空窗期,大量散播惡意程式,短時間內癱瘓企業網路與主機,並造成難以估計的損失.但這種攻擊方式,只要修補程式一發布,不但就很難進行攻擊,而且其他企業也可以及早做出防範。

反觀APT的攻擊模式,就不只是短時間的大量攻擊,而是長時間的潛伏在企業內部,早期階段先收集有關網路設定和伺服器作業系統的的詳細資訊,以設法攻擊突破外網Web伺服器主機,再利用受駭的Web伺服器作為跳板,對內網其他主機或用戶端進行情報蒐集.安裝Rootkit或其他惡意軟體,以取得控制權或是跟命令與控制伺服器(C&C Server)建立連線後,再進一步複製機密或是敏感數據,以竊取企業重要的知識產權,如技術文件或客戶名單等。

APT最主要的滲透方式,就是透過電子郵件,通常是以文件類型的檔案作為附件,由於APT攻擊郵件通常與使用者平時收發的郵件無太大的相異之處,容易降低使用者的戒心,加上企業使用電子郵件相當頻繁。據趨勢科技統計,每天的電子郵件流量有超過60%屬於企業用途,一般企業員工平均每天會寄送41封和接收100封的電子郵件,其中有24封帶有附件,在2012年每日的企業電子郵件流量更高達890億封,預計會在2016年底達到1430億封。這麼龐大的流量,也導致資安管理的困難度的增加。

企業需要更大規模的多層次安全解決方案

養成良好的電腦使用習慣,避免開啟來路不明的郵件附件,是企業員工起碼的資訊安全素養,也是對抗APT攻擊的首要秘訣。因此,企業資安部門也應該定期做好教育訓練,讓員工隨時認識最新入侵方式,如何識別釣魚郵件、連結或電話。

如大部分的網路釣魚訊息,目的是希望讓人進入會收集個人資料的惡意網站,由於這些電子郵件或其他形式訊息都是用HTML格式,使用者在點選連結前,只要將滑鼠箭頭停在這些連結上,就可以在瀏覽器狀態列上,看到實際網址(通常在瀏覽器或電子郵件軟體視窗的底部),如果你不認得這網站,或它用的是像bit.ly的短網址,或這寄送連結的來源是你沒有接觸過的,那就不要去點。

此外,凡是要求提供任何個人資料,或是用威脅口吻,要求使用者儘快與寄信者聯繫,以免觸犯法律的郵件,都不要使用電子郵件內的聯絡人資料,最好是直接聯繫該公司,以確認真偽。

但除了電子郵件,即時通訊和社群網站也已經成為駭客的攻擊啟始點,行動平台更已成為被鎖定的對象。趨勢科技建議,企業需要更大規模的多層次安全解決方案,包括建立早期預警系統,監控可疑連線及電腦;佈建多層次的資安防禦機制,達到縱深防禦效果;對企業內部敏感資料建立監控與存取政策;企業內部應定期執行社交工程攻擊演練,才能讓網路管理者能夠深入了解並掌控企業整體網路的全貌,不管駭客會利用什麼設備(例如智慧型手機、平板電腦等)或入侵方式(例如行動設備、電子郵件、即時通或社群網站),都能設法降低目標攻擊的危險性。

轉載自《DIGITIMES中文網》